Kann jemand ein Beispiel aus dem wirklichen Leben geben, wo SELinux seinen Sicherheitsspeck aufbewahrt hat? (oder AppArmour, wenn Sie möchten). Wenn nicht Ihre eigene, ein Hinweis auf jemanden mit einer glaubwürdigen Erfahrung?
Kein Labortest, kein Whitepaper, keine Best Practice, kein CERT-Hinweis, sondern ein echtes Beispiel, so etwas wie audit2warum zeigt sich ein echter Hacking-Versuch, der in seinen Spuren gestoppt wurde?
(Wenn Sie kein Beispiel haben, behalten Sie bitte Kommentare in Kommentaren anstelle von Antworten bei.)
Vielen Dank!
Antworten:
Wie wäre es damit von Russell Coker ? Es ist ein Beispiel aus dem wirklichen Leben, da er jeden als Root auf seine Maschine eingeladen hat. Auf den ersten Blick dachte ich, das wäre verrückt, aber dann erkennt man die Kraft von SELinux, die Wurzel etwas nutzlos zu machen.
Hier sind einige Beispiele aus seiner Praxis.
quelle
Bei SELinux geht es nicht unbedingt um den Schutz vor Hackern. Es geht darum, Richtlinien für das Verhalten eines Systems zu dokumentieren und durchzusetzen. Es ist ein Werkzeug in der Toolbox, das wertvoll ist, aber Fähigkeiten erfordert, um es gut zu nutzen.
Ein Beispiel aus dem wirklichen Leben, wie es Sie rettet, ist ungefähr so:
Wenn SELinux so konfiguriert ist, dass die Richtlinie "FTP-Dienste dürfen Dateien in Benutzerverzeichnissen lesen und schreiben" nicht zulässig ist, ist der Exploit nicht erfolgreich und der Richtlinienverstoß wird protokolliert.
quelle
Hier finden Sie eine detaillierte Beschreibung eines Angriffs, den SELinux gestoppt hat, mit Protokolldetails und einer Erläuterung der verwendeten forensischen Techniken. Ich habe diesen Artikel im Linux Journal veröffentlicht:
http://www.linuxjournal.com/article/9176
Hier ist ein Auszug von Anfang an:
quelle